Zloděj kukaček
Výzkumníci v oblasti kybernetické bezpečnosti odhalili novou hrozbu zaměřenou na systémy Apple macOS, která je navržena tak, aby zajistila trvalý přístup na kompromitovaných hostitelích a fungovala jako spyware. Tento malware s názvem Kukačka je univerzální binární soubor Mach-O, který lze spustit na počítačích Mac s procesory Intel i Arm.
Konkrétní způsob distribuce zůstává nejistý. Existují však známky toho, že binární soubor je hostován na více webových stránkách (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com a tunefab.com), jejichž cílem je poskytovat bezplatné a placené aplikace pro kopírování hudby ze streamovacích služeb a konverzi. to do formátu MP3.
Obsah
The Cuckoo Stealer zavádí vytrvalost na infikovaném Macu
Soubor s obrazem disku získaný z těchto webových stránek spustí bash shell pro shromažďování podrobností o hostiteli. Zajišťuje, že se napadený stroj nenachází v Arménii, Bělorusku, Kazachstánu, Rusku nebo na Ukrajině. Podvodný binární soubor se spustí pouze v případě, že kontrola národního prostředí proběhne úspěšně.
Kromě toho zavádí persistenci pomocí LaunchAgenta, což je metoda, kterou dříve využívaly různé rodiny malwaru, jako je RustBucket , XLoader , JaskaGO a backdoor macOS, který sdílí podobnosti se ZuRu .
Podobně jako u malwaru MacStealer macOS využívá Cuckoo osascript k zobrazení výzvy k falešnému zadání hesla, čímž klame uživatele, aby zadali svá systémová hesla pro eskalaci oprávnění. Tento malware také vyhledává konkrétní soubory spojené s konkrétními aplikacemi ve snaze získat rozsáhlé systémové informace.
The Cuckoo Stealer kompromituje citlivé informace z narušených zařízení
Cuckoo Malware je navržen tak, aby spouštěl posloupnost příkazů zaměřených na extrakci hardwarových detailů, zachycení aktivních procesů, dotazování na nainstalované aplikace, pořizování snímků obrazovky a sklizeň dat z různých zdrojů, včetně iCloud Keychain, Apple Notes, webových prohlížečů, kryptopeněženek a specifických aplikace jako Discord, FileZilla, Steam a Telegram.
Každá ohrožující aplikace obsahuje ve svém adresáři prostředků vestavěný balíček aplikací. Většina těchto balíčků, s výjimkou balíčků z fonedog.com, je podepsána a nese platné ID vývojáře přiřazené společnosti Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Zejména fonedog.com hostil nástroj pro obnovu systému Android spolu s dalšími nabídkami a jeho další balíček aplikací obsahuje ID vývojáře od FoneDog Technology Limited (CUAU2GTG98).
Zařízení Mac se stala častým cílem útoků malwaru
Kyberzločinci nasazují malwarové nástroje zaměřené na zařízení Mac, přičemž jedním z prominentních příkladů je rodina malwaru AdLoad . Nedávno výzkumníci informační bezpečnosti vyvolali poplach ohledně nové varianty tohoto nechvalně známého malwaru zvaného Rload (také známého jako Lador), napsaného v programovacím jazyce Go. Rload je navržen tak, aby obešel seznam signatur malwaru XProtect společnosti Apple a je sestaven speciálně pro architekturu Intel x86_64.
Tyto binární soubory fungují jako počáteční kapátka pro následující fáze užitečného zatížení. V současné době zůstávají přesné způsoby distribuce nejasné. Tyto kapátka se však obvykle nacházejí zabudované v popraskaných nebo trojanizovaných aplikacích distribuovaných prostřednictvím škodlivých webových stránek.
AdLoad, adwarová kampaň ovlivňující macOS minimálně od roku 2017, je známá tím, že unáší výsledky vyhledávačů a vkládá reklamy na webové stránky. Toho je dosaženo prostřednictvím nastavení webového proxy typu man-in-the-middle, které přesměruje uživatelský webový provoz přes útočníkovu infrastrukturu za účelem finančního zisku.
